IITR Datenschutz Blog

Hinweis: Sicherheit bei Afterbuy

09.10.2008

Das Sicherheitsblog macht darauf aufmerksam, dass es bei Afterbuy ein Problem mit Dtaen geben soll:

Ein Klick auf den Link bringt den Käufer zu einer Auftrags- und Statusübersicht – ohne Authentifizierung, aber brav SSL-verschlüsselt. Auf der besagten Webseite fanden sich dann allerlei Daten über Käufer und Verkäufer der Ware. Der eBay-Benutzername, der reale Name, die vollständige Adresse, Telefon- und Faxnummer, Mailadressen, die Bankverbindung des Verkäufers und natürlich alles Wissenswerte über den gekauften Artikel. […] Die SSL-Verschlüsselung ist als Schutzmaßnahme natürlich reichlich sinnlos, wenn der Zugriff auf die Webseite keine Authentifizierung erfordert. Die Grundannahme “den Link kennt ja niemand” ist naiv.

Wenn das so stimmt, wäre es jedenfalls übel – mangels Prüfungslink kann ich dazu nichts sagen und verweise hier nur auf den dortigen Artikel.

Beitrag teilen:

4 Kommentare zu diesem Beitrag:

André (PN Admin)

Hallo,

genau so funktioniert die "Sicherheit" bei Afterbuy. Leider wird man nur selten vor einer Auktion darüber informiert, ob Afterbuy zum Einsatz kommt. So gibt es dann im Anschluß schnell eine Überraschung.
Mir ist das ganze auch schon häufiger aufgestoßen. Ein einfacher Link genügt um Einsicht in alle relevanten Daten zu erhalten.

Wenn du magst schreib mir einmal eine e-Mail und ich kann Dir Einsicht in eine Auktion von vorletzter Woche geben, die über Afterbuy abgewickelt wurde.

LG
André

Thomas

Habe lange nichts mehr bei ebay gekauft, aber mir ist das vor Jahren schon aufgefallen - einzige Hemmschwelle war damals zumindest die Verwendung einer GUID pro Transaktion, d.h. die Links sind nicht "erratbar", aber eben direkt ohne jeden Login aufrufbar.

Umso schlimmer, dass man in vielen Fällen bei ebay gar nicht um die Verwendung herum kommt.

paul

Es ist ein Spagat zwischen "einfach anzuwenden" für den gemeinen ebay Kunden und Sicherung der Daten. Dabei wäre es ein Einfaches für AB diese Lücke zu schließen oder wenigstens zu entschärfen. Der in der Mail angegebene Link sollte nach dem ersten ungeblockten Aufruf nur noch über eine Autentifizierung zu erreichen sein.

JayEnEm

Meine negativen Erfahrungen:
Obwohl afterbuy in Ihren AGBs darauf hinweist, dass potentielle Käufer vor der Abgabe eines Gebotes darauf hingewiesen werden müssen, wenn dieser Dienst "eingeschaltet" wird, habe ich nur schlechte Erfahrungen mit Händlern und afterbuy gemacht, wenn dieser Dienst (immer ohne Hinweis) zum "Einsatz" kam. Auf meine Anfrage hin hat afterbuy mitgeteilt, es sei überhaupt nicht notwendig, auf den Dienst hingewiesen zu werden. Auch könne man mir nicht mitteilen, welche Daten über mich gespeichert würden. Dies mit der Begründung, man wolle meine Daten schützen. Ich habe lediglich einen Anspruch auf Auskunft gegenüber dem Händler. Obwohl der Händler seinerseits die missbräuchliche Weitergabe meiner Daten an afterbuy zugegeben hat.
"Datenhehlerei" ist die Weitergabe von Daten ohne Erlaubnis!
Trotz meiner Aufforderung und der Zusage des Händlers, die Löschung meiner Daten bei afterbuy zu veranlassen, ist dies nicht geschehen. Meine Konsequenz: Der zuständige Landesbeauftragte für Datenschutz wurde umfangreich über diese Praktiken informiert, ebenso die Verbraucherzentrale.
afterbuy verwechselt den Schutz der Daten mit Geheimniskrämerei zum Schutz der Händler, die sich nicht an Gesetze und eigene Verpflichtungen halten wollen. Hier wird Datenschutz systematisch ausgehöhlt.

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif